Способы проверки подлинности агентов безопасности
В этой статье рассматриваются различные способы проверки подлинности, которые можно использовать с агентом AzureIoTSecurity для проверки подлинности в Центре Интернета вещей.
Для каждого устройства, подключаемого к службе "Defender для Интернета вещей" в Центре Интернета вещей, требуется микроагент Defender-IoT-micro-agent. Для проверки подлинности устройства Defender для Интернета вещей может использовать один из двух способов. Выберите вариант, который лучше подходит для вашего решения IoT.
- Вариант SecurityModule
- Вариант устройства
Методы проверки подлинности
Два способа проверки подлинности для агента AzureIoTSecurity службы Defender для Интернета вещей:
Режим проверки подлинности микроагента Defender-IoT-micro-agent
Проверка подлинности агента выполняется с использованием удостоверения микроагента Defender-IoT-micro-agent независимо от удостоверения устройства. Этот тип проверки подойдет, если агент безопасности должен использовать специальный способ проверки подлинности через микроагент Defender-IoT-micro-agent (только симметричный ключ).Проверка подлинности устройства
С этим способом агент безопасности сначала проходит проверку подлинности с удостоверением устройства. После первоначальной проверки подлинности агент Defender для Интернета вещей выполняет вызов REST к Центру Интернета вещей, используя REST API с данными проверки подлинности устройства. Затем агент Defender для Интернета вещей запрашивает способ проверки подлинности микроагента Defender-IoT-micro-agent и данные из центра Интернета вещей. На последнем шаге агент Defender для Интернета вещей проходит проверку подлинности в модуле "Defender для Интернета вещей".
Этот тип проверки подойдет, если агент безопасности должен повторно использовать существующий способ проверки подлинности устройства (самозаверяющий сертификат или симметричный ключ).
Инструкции по настройке см. в разделе Параметры установки агента безопасности.
Известные ограничения способов проверки подлинности
- Режим проверки подлинности SecurityModule поддерживает только проверку подлинности с симметричным ключом.
- Режимом проверки подлинности устройства не поддерживает сертификаты, подписанные центром сертификации.
Параметры установки агента безопасности
При развертывании агента безопасностив качестве аргументов необходимо передать параметры проверки подлинности. Эти аргументы описаны в таблице ниже.
| Имя параметра Linux | Имя параметра Windows | Сокращенное имя параметра | Описание | Параметры |
|---|---|---|---|---|
| authentication-identity | AuthenticationIdentity | aui | Удостоверение проверки подлинности | SecurityModule или устройство |
| authentication-method | AuthenticationMethod | aum | Метод проверки подлинности | SymmetricKey или SelfSignedCertificate |
| file-path | FilePath | f | Абсолютный полный путь к файлу, содержащему сертификат или симметричный ключ | |
| host-name | HostName | hn | Полное доменное имя Центра Интернета вещей | Пример: ContosoIotHub.azure-devices.net |
| device-id | deviceId | di | Идентификатор устройства | Пример: MyDevice1 |
| certificate-location-kind | CertificateLocationKind | cl | Расположение хранилища сертификатов | LocalFile или Store |
При использовании скрипта установки агента безопасности приведенная ниже конфигурация задается автоматически. Чтобы вручную изменить параметры проверки подлинности агента безопасности, отредактируйте файл конфигурации.
Изменение способа проверки подлинности после развертывания
При развертывании агента безопасности с помощью скрипта установки автоматически создается файл конфигурации.
Чтобы изменить способы проверки подлинности после развертывания, необходимо вручную изменить файл конфигурации.
Агент безопасности на основе C#
Измените в файле Authentication.config следующие параметры:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
Агент безопасности на основе C
Измените в файле LocalConfiguration.json следующие параметры:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}